facebook-pixel

LPD vs RGPD : Différences Clés pour les Entreprises Suisses en 2026

E
Equipe Securite Lunyb
··10 min read

Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) est entrée en vigueur en Suisse. Si tu diriges une entreprise helvétique, tu te poses probablement la question : faut-il appliquer la LPD, le RGPD européen, ou les deux ? La réponse est souvent... les deux. Et les différences, bien que subtiles, peuvent coûter cher si tu les ignores.

Dans ce guide complet, on décortique les différences entre la LPD suisse et le RGPD européen, avec des exemples concrets pour t'aider à naviguer dans ce double cadre réglementaire.

LPD et RGPD : définitions rapides

La LPD (Loi sur la Protection des Données) est la législation suisse qui encadre le traitement des données personnelles sur le territoire helvétique. Sa version révisée, entrée en vigueur en septembre 2023, s'aligne largement sur les standards européens tout en conservant des spécificités suisses.

Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen applicable depuis mai 2018 à toutes les entreprises traitant des données de résidents de l'Union européenne, quelle que soit leur localisation géographique.

Pourquoi ta boîte suisse doit s'intéresser aux deux

Si ton entreprise suisse traite des données de clients européens (même un seul client français ou allemand), tu es soumise au RGPD en plus de la LPD. C'est ce qu'on appelle l'application extraterritoriale. Et vu la proximité économique entre la Suisse et l'UE, c'est le cas de la majorité des PME helvétiques.

Les 8 différences majeures entre LPD et RGPD

1. Champ d'application des données protégées

Une différence fondamentale que beaucoup ignorent : la LPD protège à la fois les données des personnes physiques et morales (jusqu'à sa révision, mais elle ne protège plus que les personnes physiques désormais). Le RGPD, lui, ne concerne que les personnes physiques.

La nouvelle LPD a supprimé la protection des personnes morales, s'alignant ainsi sur le RGPD. Un point de convergence important.

2. Sanctions financières

C'est probablement la différence la plus frappante :

  • RGPD : amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel
  • LPD : amendes jusqu'à 250'000 CHF, mais dirigées contre les personnes physiques responsables (dirigeants, DPO) et non contre l'entreprise elle-même

Cette particularité suisse est cruciale : c'est toi, en tant que dirigeant, qui risques personnellement la sanction pénale. Pas ton entreprise.

3. Délégué à la Protection des Données (DPO)

Sous le RGPD, la désignation d'un DPO est obligatoire dans trois cas précis (autorité publique, surveillance systématique à grande échelle, traitement à grande échelle de données sensibles).

La LPD suisse parle plutôt d'un « Conseiller à la Protection des Données », dont la désignation est facultative mais fortement recommandée. C'est un vrai assouplissement pour les PME suisses.

4. Notification des violations de données

Voici un tableau comparatif clair :

CritèreRGPDLPD (Suisse)
Délai de notification à l'autorité72 heures« Dans les meilleurs délais »
Seuil de déclenchementRisque pour les droits et libertésRisque élevé pour la personnalité ou les droits fondamentaux
Notification aux personnes concernéesObligatoire si risque élevéUniquement si nécessaire à la protection
Autorité compétenteCNIL (FR), autorités nationalesPFPDT

5. Registre des activités de traitement

Le RGPD impose un registre pour toutes les entreprises de plus de 250 employés (avec de nombreuses exceptions qui rendent l'obligation quasi-universelle).

La LPD dispense de cette obligation les PME de moins de 250 employés dont le traitement des données présente un risque limité. Un vrai avantage compétitif pour les petites structures suisses.

6. Analyse d'impact (AIPD/DPIA)

Les deux réglementations imposent une analyse d'impact pour les traitements à risque élevé. Cependant, la LPD utilise le terme « Analyse d'Impact relative à la Protection des Données » (AIPD) et prévoit des cas légèrement différents. La consultation préalable du PFPDT reste possible mais moins fréquemment obligatoire qu'auprès de la CNIL.

7. Transferts internationaux de données

Le principe est similaire : les données ne peuvent être transférées qu'à des pays offrant un niveau de protection adéquat. Mais les listes des pays « adéquats » diffèrent parfois entre la Suisse et l'UE.

Le PFPDT publie sa propre liste des pays considérés comme adéquats. Pour les transferts vers les États-Unis, la Suisse a signé son propre Swiss-US Data Privacy Framework distinct du cadre européen.

8. Droits des personnes concernées

Les droits fondamentaux (accès, rectification, effacement, portabilité) existent dans les deux textes. Mais la LPD reste plus souple sur certains aspects, notamment le délai de réponse (30 jours en pratique, extensible) et les modalités d'exercice.

Obligations concrètes pour les entreprises suisses

Si tu ne traites que des données de résidents suisses

Voici les étapes essentielles pour être conforme à la LPD :

  1. Cartographier tes traitements de données : quelles données, pour quoi faire, combien de temps
  2. Rédiger une politique de confidentialité claire et accessible sur ton site
  3. Mettre en place des mesures de sécurité techniques et organisationnelles adaptées
  4. Former ton équipe aux bonnes pratiques de protection des données
  5. Documenter les consentements lorsqu'ils sont requis
  6. Prévoir une procédure en cas de violation de données
  7. Contractualiser avec tes sous-traitants (contrats de sous-traitance de données)

Si tu traites aussi des données européennes

Tu dois ajouter les obligations RGPD :

  • Désigner un représentant dans l'UE (article 27 RGPD)
  • Tenir un registre des activités de traitement complet
  • Respecter les délais stricts de 72h pour notifier une violation
  • Réaliser une AIPD pour les traitements à risque
  • Prévoir des mécanismes de portabilité des données robustes

Cas pratique : une PME genevoise dans le e-commerce

Imaginons une boutique en ligne basée à Genève qui vend en Suisse, en France et en Allemagne. Voici sa checklist de conformité :

Côté LPD

  • Politique de confidentialité en français, allemand et italien
  • Bannière cookies conforme (consentement explicite pour les cookies non-essentiels)
  • Contrat avec l'hébergeur suisse ou européen
  • Procédure interne de gestion des demandes d'accès

Côté RGPD (car clients UE)

  • Représentant désigné dans l'UE
  • Registre des traitements complet
  • Analyse des transferts hors UE (si l'hébergeur est américain par exemple)
  • Documentation des bases légales pour chaque traitement

Pour partager ces politiques et documents légaux avec tes clients ou partenaires, des outils comme Lunyb permettent de créer des liens courts et traçables vers tes conditions générales ou ta politique de confidentialité, tout en respectant les principes de protection des données.

Les mesures de sécurité recommandées

La LPD comme le RGPD imposent des « mesures techniques et organisationnelles appropriées ». Concrètement, ça veut dire quoi ?

Sur le plan technique

  • Chiffrement des données sensibles au repos et en transit
  • Authentification forte (2FA/MFA) pour les accès aux systèmes critiques
  • Sauvegardes régulières et testées
  • Mises à jour systématiques des logiciels et systèmes
  • Journalisation des accès aux données personnelles

Pour comprendre en profondeur comment sécuriser tes communications, consulte notre guide sur le chiffrement de bout en bout.

Sur le plan organisationnel

  • Politique de gestion des mots de passe
  • Formations régulières du personnel
  • Procédures documentées de gestion des incidents
  • Contrôle des accès selon le principe du besoin d'en connaître
  • Clauses de confidentialité dans les contrats de travail

Les erreurs fréquentes des entreprises suisses

Erreur 1 : Croire que la LPD suffit

Dès qu'une donnée d'un résident européen est traitée (newsletter, commande, contact commercial), le RGPD s'applique. Ignorer cette réalité expose ta boîte à des sanctions européennes considérables.

Erreur 2 : Copier une politique de confidentialité française

Les références légales, les autorités compétentes, les délais... tout doit être adapté au contexte suisse. Une politique mentionnant uniquement la CNIL sans référence au PFPDT est problématique.

Erreur 3 : Négliger le registre des sous-traitants

Chaque outil SaaS que tu utilises (Mailchimp, HubSpot, Google Workspace...) est un sous-traitant. Tu dois avoir un contrat de sous-traitance avec chacun d'eux.

Erreur 4 : Sous-estimer les risques de phishing et de quishing

Les violations de données commencent souvent par une attaque de phishing sur un employé. Découvre comment te protéger contre les nouvelles menaces comme l'arnaque au QR code (quishing).

Comment se préparer à un contrôle du PFPDT

Le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) est l'autorité de contrôle suisse. Voici comment être prêt :

  1. Constitue un dossier centralisant tous tes documents de conformité
  2. Documente tes décisions : chaque choix (base légale, durée de conservation) doit être justifié par écrit
  3. Prépare une cartographie à jour de tes flux de données
  4. Nomme un référent interne capable de répondre aux questions du PFPDT
  5. Simule un exercice de gestion d'incident au moins une fois par an

L'avenir : convergence ou divergence ?

La révision de la LPD a considérablement rapproché la Suisse du RGPD, permettant de maintenir la décision d'adéquation européenne. Sans cette décision, les transferts UE→Suisse deviendraient beaucoup plus complexes.

À l'avenir, on peut s'attendre à une convergence progressive, tout en gardant les spécificités suisses : sanctions plus mesurées, souplesse pour les PME, approche plus pragmatique.

Pour aller plus loin sur la protection de tes données au quotidien, notre guide Comment Protéger sa Vie Privée en Ligne en 2026 te donne toutes les bonnes pratiques essentielles.

FAQ : LPD vs RGPD pour les entreprises suisses

Ma PME suisse doit-elle vraiment appliquer le RGPD ?

Oui, dès que tu traites les données d'au moins un résident de l'Union européenne, le RGPD s'applique à ton entreprise. Cela inclut les clients, prospects, employés ou même les visiteurs de ton site web qui sont identifiables et résident dans l'UE. Concrètement, la majorité des PME suisses sont concernées par les deux régimes.

Quelles sont les sanctions concrètes en cas de non-conformité à la LPD ?

La LPD prévoit des amendes jusqu'à 250'000 CHF, mais elles visent les personnes physiques responsables (dirigeants, cadres) et non l'entreprise elle-même. C'est une particularité suisse importante : c'est toi, en tant que responsable, qui risques personnellement une sanction pénale, pas ta société.

Dois-je désigner un DPO obligatoirement en Suisse ?

Non, la LPD suisse rend la désignation d'un Conseiller à la Protection des Données facultative. Cependant, si tu traites des données de résidents européens, le RGPD peut te l'imposer dans certains cas (surveillance à grande échelle, traitement de données sensibles à grande échelle, autorités publiques).

Comment gérer les transferts de données vers les États-Unis depuis la Suisse ?

Depuis 2024, la Suisse dispose de son propre cadre : le Swiss-US Data Privacy Framework. Les entreprises américaines certifiées dans ce cadre peuvent recevoir des données suisses sans garanties supplémentaires. Pour les autres transferts, tu dois utiliser les Clauses Contractuelles Types (CCT) validées par le PFPDT et effectuer une analyse d'impact du transfert.

Quel est le délai pour notifier une violation de données selon la LPD ?

La LPD exige une notification au PFPDT « dans les meilleurs délais » lorsque la violation entraîne un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. C'est moins strict que le RGPD (72 heures), mais si tu es aussi soumis au RGPD, c'est le délai le plus court qui s'applique.

Conclusion

La LPD et le RGPD partagent une même philosophie : protéger les données personnelles et responsabiliser les entreprises qui les traitent. Mais les subtilités entre les deux textes peuvent créer des angles morts pour les entreprises suisses.

La bonne stratégie ? Adopter le RGPD comme standard de conformité par défaut (car il est plus strict) et ajouter les spécificités suisses (PFPDT, sanctions pénales dirigeantes, listes d'adéquation propres). C'est le moyen le plus sûr d'être conforme partout, sans mauvaise surprise.

Et n'oublie pas : la conformité n'est pas un projet ponctuel mais un processus continu. Documente, forme, audite, améliore. Ton entreprise et tes clients y gagneront en confiance et en sérénité.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles